Phobos勒索病毒
eking和Devos勒索病毒是最為常見的Phobos家族勒索病毒后綴,被這種勒索病毒加密后文件的擴展名都會被改為,類似這樣:原始文件名.id[A8A4E998-2564].[Hubble77@tutanota.com].eking或者.id[09AD2096-2700].[yourbackup@email.tg].Devos.
經過對這種病毒樣本文件分析,這種加密文件內容中會有一部分文件被病毒通過算法加密,也就是還有大部分內容是正常狀態。雖然文件格式已經被破壞,但是對於數據庫這種特殊格式的文件來說是可以通過技術手段來提取未加密的數據,重組修復文件的,雖然可能會有一部分數據丟失,但是如果能提供備份(包括被加密的備份)等之類的素材,還是很有可能達到100%數據找回的。文檔圖片視頻之類的非數據庫文件要恢復只能想辦法解密處理,每台電腦感染加密情況會有區別,具體還得分析文件本身的情況。
電腦中了勒索病毒后應急處理:
第一:斷網,立即查看重要文件是否已經被加密(如果沒有立馬關機,然后通過PE進系統用移動硬盤備份文件;如果所有文件已經被加密那關機也沒意義了)
第二:不管怎么樣,先對重要文件(包括已經被加密的情況)通過空的移動硬盤做一個備份。防止二次感染或者更復雜的破壞。
第三:安裝殺毒軟件殺毒,如果病毒程序還在運行試試通過瀏覽器在線安裝殺毒軟件,如果瀏覽器用不了那就重裝系統吧。
第四:排查局域網內所有的電腦,看是否有被感染的情況。同第三步殺毒。
第五:重置路由,更換固定IP。非必要的情況下不要在windows系統中開放對外端口,或者需要時臨時開啟用完就關閉。
被加密的數據恢復方案:sql server 和 oracle數據庫文件能通過技術修復處理,但是其他類型的文件當前沒有通用技術能做,如不知如何處理可以先資訊技術薇服務號shuju187根據具體加密情況和加密內容來做相應的方案,對於不需要恢復文件的電腦格式化系統盤后重裝系統就可以里,但是要注意如果要恢復文件就不用亂改動文件。
很多時候安裝殺毒軟件,掃描不到病毒,會有疑惑。其實不用擔心,因為很可能病毒在執行完加密后就自行銷毀了,主流的殺毒軟件如果有病毒或者木馬還是能掃描出來的。
還有就是這種病毒加密文件,並不會攜帶病毒,或傳播病毒,被加密的文件也只是文件而已,不會有傳播性和破壞性。
感染途徑可能有:
1、植入在一些免費軟件里面,當你下載安裝時發生,或者偽裝軟件更新,及軟件破解激活工具中;
2、不熟悉人的郵件中,可能會引導點開一些鏈接,或者附件,下載病毒惡意代碼;
3、在一些免費托管的網站中;
4、種子下載torrent軟件。
5、系統漏洞。
6、攻破遠程協議或對外默認開放的端口。
保障數據安裝最有效的辦法:
定期用移動硬盤復制備份重要文件數量,離網保存。或許很多人會認為這個麻煩,但是所有的防攻本身就是對立的,而且攻占主動性,所有的防范手段,例如,防火牆,殺毒軟件,之類的都只是增加攻擊難度,也不是絕對安全的。只有離開網絡保存的數據才能得到保障。
當前很多企業不重視網絡安全防范,所以一旦出問題將是災難性的。互聯網時代,數據是無價的,保護數據安全的投入肯定也是必須的。